התקפה של סלודוריס

עוד בשנת 2009 אירעו איראן סדרה של אירועי אבטחת סייבר שנערכו כנגד אתרי ממשל איראניים על ידי האקינגים באזור. צורת ההתקפה העיקרית? משהו שנקרא התקפת סלואוריס. למרות השם שפיר הנשמע, התקף של Slowloris יכול להיות יעיל למדי כאשר נפרס כראוי. זה לא מסוגל לאתר בקלות על ידי הגנות אבטחה רגילות ברשת, מה שמקשה מאוד על ההתגוננות.

המשך לקרוא כדי לגלות בדיוק כיצד פועלת ההתקפה הפשוטה והמבריקה הזו. כמו כן, המשך לקרוא כדי לגלות איך אתה יכול להתגונן נגד זה.

מהו התקפה של סלואוריס?

התקפת סלואוריס היא סוג של התקפה מבוצעת-מניעת שירות. נוצר על ידי האקר בשם RSnake, ההתקפה מתבצעת על ידי פיסת תוכנה הנקראת סלוורליס. השם נגזר מהפרימטים האסיאתיים; אולם בניגוד ללוריס האיטי האמיתי, ההתקפה הזו אינה נחמדה. Slowloris מאפשר למכשיר יחיד, כמו מחשב אישי, להוריד שרת.

אף שמקורו במכשיר אחד, שבדרך כלל יהפוך אותו למתקפת מניעת שירות, הוא הופך להיות DDoS התקפה מכיוון שהיא משתמשת בחיבורים מרובים כדי לתקוף שרת. זה יכול לעשות זאת מבלי לשים מאמץ על רוחב הפס. בנוסף, הוא מכוון לשרת הקורבן בלבד, מה שהופך אותו למתקפה יעילה ביותר מכיוון שאף יציאות לא ממוקדות מושפעות.

התוצאה היא שרת שמוצא משימוש ללא שימוש בבוטנט מסורתי. זה הופך את ההתקפה של סלואוריס למעט יתרון יותר לשימוש, מכיוון שהיא לא “רועשת” כמו התקפה בעוצמה מלאה מאלפי מכונות זומבים.. חומות אש יכול לאסוף תנועה מתוכנות סקריפט המפרסות botnet ללא שום ידע טכני אמיתי. כשאתה מפטר אלפי חבילות בעלות מבנה פגום, נגיד, פרק זמן של 10 דקות, רוב אנשי המקצוע של NetSec יבחינו בכך.

עם זאת, עם התקפת Slowloris, פחות פעמוני אזעקה יוצאים לדרך. א תעודות זהות (מערכת גילוי חדירות) יהיה פחות סביר שתשבית התקפה ממוקדת בדיוק. אין “זדוניחבילות שנשלחות במהלך ההתקפה, פשוט לא שלמות HTTP בקשות וכותרות. בנוסף, הבקשות נשלחות בקצב רגוע כדי לא לעורר חשד.

יש לציין כי התקף זה אפקטיבי, אך הוא איטי מאוד (מכאן שם הפית’י). זה יכול לקחת זמן רב עד שהחיבור יעבור לעומס יתר על ידי בקשות HTTP. זה נכון במיוחד לאתרים גדולים, כמו אתרי ממשלת איראן במתקפות לשמצה מ -2009.

כיצד פועלת התקפת סלואוריס?

  1. תוקף מחליט על שרת למקד אליו. שרתים פופולריים המושפעים על ידי Slowloris כוללים שרתים מ- Apache, Verizon, Flask ו- Web-sense.
  2. ההתקפה מתחילה בשליחת בקשות HTTP חלקיות.
  3. בקשות HTTP אף פעם לא הושלמו, מהונות את השרת.
  4. כתוצאה מכך, השרת הממוקד מתחיל להיפתח בציפייה להשלמת בקשות ה- HTTP.
  5. כותרות HTTP מוצגות לזרימת התנועה. כותרות HTTP אף פעם לא הושלמו.
  6. בסופו של דבר, קשרים לגיטימיים הופכים לבלתי אפשריים. הסיבה לכך היא שהזרימה המתמדת של בקשות HTTP וכותרות עומס על מאגר החיבורים.
  7. IDS לעולם אינו מבחין בבעיה שמתרחשת מכיוון שהבקשות אינן זדוניות, לפחות בתיאוריה.
  8. לפני שהצוות Sysadmin או הכחול יוכלו להגיב, השרת נפסק מהעמלה.

איך מתקלים איטי של סלורלוריס?

אי אפשר למנוע התקף של סלוורליס. למרות זאת, ישנם כמה צעדים שניתן לנקוט בכדי למתן את האיום שהיא מהווה. שלב אחד שניתן לנקוט הוא קביעת התצורה של שרת לאפשר יותר לקוחות (כלומר, העלאת המגבלה המרבית). דבר נוסף הוא לאלץ את השרת להגביל כתובות IP מבחינת כמה חיבורים זה יכול להיות. טקטיקות אחרות כוללות כיבוי חיבורים בקצב מהיר יותר והגבלת מהירות החיבור המינימלית.

הדרך שבה הטקטיקות האלה להקל Slowloris הם די פשוטים. תצורות אלה כיפות ברך על תוקף בכך שהם לא מאפשרים את עצם התנאים שהם צריכים. ללא היכולת להישאר מחוברת לאורך תקופות ארוכות, ובלי מספר רב של חיבורים ששולחים בקשות HTTP, מתקפת ה- Slowloris נעשית קשה לניתוק.

זו אינה תוכנית חסינת כדורים, שכן עדיין ניתן לנסות את ההתקפה. כל מה שתוקף זקוק לו הרבה זמן על הידיים והסבלנות שלהם. עם זאת, קיימות שיטות נוספות שניתן לנסות, עם זאת, כמו תצורות חומת אש מסוימות ופרוקסי רוורס. אלה גם עם מגבלותיהם, ואינם יכולים למנוע לחלוטין את ההתקפה של סלואוריס.

למידע נוסף על DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me